CVE-2016-20087: Fortitude HTTP sårbarhed forklaret
Fejl i Fortitude HTTP 1.0.4.0 giver lokale brugere mulighed for at køre skadelig kode med fulde systemrettigheder.
Hvad er det?
Fortitude HTTP 1.0.4.0 har en sårbarhed kaldet ‘unquoted service path’ (en fejl i den måde, Windows-tjenesten er registreret på). Når stien til programmets opstartsfil ikke er sat i anførselstegn, kan Windows forveksle en ondsindet fil med den rigtige programfil. Det betyder, at en angriber kan placere en skadelig fil et bestemt sted på computeren, som Windows så kører automatisk næste gang tjenesten starter eller computeren genstartes — og det sker med de højeste systemrettigheder (SYSTEM-niveau).
Hvem rammer det?
Sårbarheden rammer virksomheder og brugere, der har installeret Fortitude HTTP version 1.0.4.0 på Windows-maskiner. Angrebet kræver, at angriberen allerede har adgang til computeren som en almindelig bruger (ikke administrator). Det er typisk relevant i miljøer, hvor flere medarbejdere deler computere, eller hvor en angriber allerede har fået fodfæste via eksempelvis phishing (lokkemails).
Hvad kan ske?
Hvis sårbarheden udnyttes, kan en angriber:
- Overtage fuld kontrol over den berørte computer med de højeste rettigheder
- Installere malware (skadelige programmer), ransomware eller bagdøre
- Stjæle følsomme data, adgangskoder og forretningshemmeligheder
- Sprede angrebet videre til andre systemer på samme netværk
- Slette eller kryptere filer, så de bliver utilgængelige
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af det internationale sikkerhedsorgan NIST. Angrebet kræver lokalt fodfæste på maskinen, men ingen administratorrettigheder og ingen handling fra en bruger. Det gør den relativt let at udnytte, når en angriber først er inde. Konsekvenserne er fulde: fortrolighed, integritet og tilgængelighed er alle i fare.
Hvad gør jeg nu?
Gør følgende så hurtigt som muligt, hvis du bruger Fortitude HTTP 1.0.4.0:
- Identificér berørte systemer: Tjek om Fortitude HTTP 1.0.4.0 er installeret på nogen af dine Windows-computere eller servere.
- Begræns brugeradgang: Sørg for, at medarbejdere kun har de rettigheder, de har brug for — ingen bør have skriverettigheder til systemets rodmappe (typisk C:) uden god grund.
- Søg efter en opdatering: Tjek producentens hjemmeside for en ny version af Fortitude HTTP, der retter fejlen.
- Overvej at afinstallere: Hvis softwaren ikke er forretningskritisk, og der ikke foreligger en patch, bør du overveje at afinstallere den midlertidigt.
- Kontakt din IT-leverandør: Bed din IT-partner om at verificere konfigurationen og evt. manuelt rette stien til tjenesten i Windows-registreringsdatabasen.
Handl inden for 7 dage
Auroa anbefaler, at du straks undersøger, om Fortitude HTTP 1.0.4.0 er installeret i din virksomhed. Da der ikke pt. kendes til en officiel patch, bør du midlertidigt begrænse adgangen til de berørte computere og sikre, at ingen uvedkommende har skriveadgang til systemets rodmappe. Kontakt din IT-leverandør for at få stien rettet manuelt eller softwaren erstattet.
Tidslinje
Konkrete eksempler
Medarbejder placerer skadelig fil på serveren
En utilfreds medarbejder med adgang til en Windows-server, hvor Fortitude HTTP er installeret, placerer en skadelig .exe-fil i C:Program.exe. Næste gang serveren genstartes, kører Windows fejlagtigt denne fil i stedet for det rigtige program — med fulde SYSTEM-rettigheder. Medarbejderen har nu skabt en bagdør til systemet uden at vække mistanke.
Angriber eskalerer rettigheder efter phishing
En medarbejder klikker på et ondsindet link i en e-mail og downloader et program, der giver angriberen adgang til computeren som en almindelig bruger. Angriberen opdager, at Fortitude HTTP er installeret med en ikke-angivet sti, og placerer en skadelig fil i det rigtige mappeforløb. Ved næste genstart af tjenesten kører den skadelige kode med SYSTEM-rettigheder, og angriberen overtager hele computeren.
Automatisk udnyttelse via script
En angriber, der allerede har begrænset adgang til netværket, kører et automatisk script, der scanner efter kendte ‘unquoted service path’-sårbarheder. Scriptet identificerer Fortitude HTTP på en maskine, indsætter en skadelig fil og venter på, at tjenesten genstartes — fx ved den næste planlagte Windows-opdatering. Angrebet sker uden yderligere brugerinteraktion og efterlader minimale spor.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-sårbarhed?
Det er en fejl i den måde, en Windows-tjeneste er registreret på. Hvis stien til programmets opstartsfil indeholder mellemrum og ikke er omsluttet af anførselstegn, kan Windows fejlfortolke stien og i stedet køre en anden fil — fx en ondsindet en, som en angriber har placeret der på forhånd.
Skal angriberen være fysisk til stede ved computeren?
Ikke nødvendigvis. Angriberen skal blot have adgang til computeren som en almindelig bruger — det kan være via fjernadgang (fx Remote Desktop), et kompromitteret medarbejderlogin efter phishing, eller en utilfreds medarbejder med lokal adgang.
Er vi i fare, hvis vi kun bruger Fortitude HTTP internt?
Ja. Sårbarheden er lokal, men det betyder ikke, at den er harmløs. Mange angreb starter med, at en angriber får fodfæste ét sted i virksomheden og derefter eskalerer rettighederne via netop denne type sårbarhed. Intern brug beskytter ikke mod truslen.
Hvad er SYSTEM-rettigheder, og hvorfor er det farligt?
SYSTEM er den højeste rettighedsniveau på en Windows-computer — højere end selv administratorer. Med SYSTEM-rettigheder kan en angriber gøre næsten alt: installere programmer, slette filer, oprette nye brugere og sprede sig til andre maskiner på netværket.
Findes der en officiel rettelse til Fortitude HTTP?
På tidspunktet for denne artikel kendes der ikke til en officiel opdatering fra producenten. Du bør holde øje med producentens hjemmeside og kontakte din IT-leverandør for en midlertidig løsning, fx manuel rettelse af tjenesteregistreringen i Windows.
Hvad sker der, hvis vi ikke gør noget?
Risikoen er, at en angriber med selv begrænsede rettigheder på computeren kan eskalere til fuld kontrol. Det kan føre til datatyveri, ransomware-angreb eller at hele dit netværk kompromitteres. Jo længere du venter, jo større er risikoen.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Fortitude HTTP 1.0.4.0 contains an unquoted service path vulnerability that allows local users to execute arbitrary code with elevated privileges by exploiting the service binary path. Attackers can insert malicious executables in the system root path that execute with SYSTEM privileges during service startup or system reboot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
